Scribd Logo
Upload

Welcome to Scribd!

  • Sesión 2 - Introducción A La Informatica Forense

    Uploaded by

    Luis Angel Salcedo Sanabria
    142 views22 pages
    Forense: Herramientas para combatir la ciberdelincuencia.

    Original Title

    Sesión 2 - Introducción a la informatica forense

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    Forense: Herramientas para combatir la ciberdelincuencia.

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    142 views22 pages

    Sesión 2 - Introducción A La Informatica Forense

    Uploaded by

    Luis Angel Salcedo Sanabria
    Forense: Herramientas para combatir la ciberdelincuencia.

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 22

    Introduccin a la Computacin Forense

    4/8/2011

    Computacin Forense: Herramientas para combatir la ciberdelincuencia


    Ing. Daniel Torres Falkonert Email: daniel@paradoja.com

    1 08/04/2011 Daniel Torres Falkonert (c) 2011

    Ciencias Forenses

    2 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    Introduccin a la Computacin Forense

    4/8/2011

    Qu estudian las ciencias forenses?


    Homicidios?

    3 08/04/2011 Daniel Torres Falkonert (c) 2011

    Criminalstica y ciencias Forenses


    De Wikipedia:
    La Criminalstica es una ciencia fctica multidisciplinaria que sistematiza conocimientos cientficos y que aplica fundamentalmente mtodos y tcnicas de investigacin de otras ciencias y disciplinas, en el examen de evidencia fsica, sensible y significativa relacionada con un hecho de caractersticas controvertidas y/o ilcitas, con el fin de determinar su existencia o reconstruirlo, sealar y precisar la intervencin de uno o varios sujetos en el mismo, buscando llegar a la verdad histrica de los hechos sometidos a consideracin. Dicho de otra manera, es la aplicacin de toda tcnica y conocimiento cientfico en la investigacin de hechos relacionados con el crimen o que sean de inters indagatorio policial.

    4 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    Introduccin a la Computacin Forense

    4/8/2011

    O an ms simple
    es la aplicacin de la ciencia a la ley

    5 08/04/2011 Daniel Torres Falkonert (c) 2011

    Por lo tanto, prcticamente cualquier rea del conocimiento se puede aplicar a las ciencias forenses

    6 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    Introduccin a la Computacin Forense

    4/8/2011

    Computacin Forense
    Rama del conocimiento que provee a partir de principios y tcnicas cientficas, la posibilidad de metodolgicamente identificar, recuperar, reconstruir , analizar y presentar informacin digital, de tal manera que esta pueda ser utilizada como evidencia en una disputa legal.

    7 08/04/2011 Daniel Torres Falkonert (c) 2011

    Para qu?
    Determinar lo ocurrido
    reconstruir eventos y generar (descubrir) pistas.

    Determinar el alcance de un incidente Prevencin y Preparacin para el futuro Si es necesario, capturar y procesar
    8 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    Introduccin a la Computacin Forense

    4/8/2011

    Cundo?
    No solo sirve para investigar hechos relacionados con los hacker

    08/04/2011

    Extorsiones Fraudes Amenazas Pornografa infantil Suplantaciones de identidad Piratera de software Recoleccin informacin de inteligencia Disputas civiles y comerciales Recuperacin de datos O solo para saber qu pas
    9 Daniel Torres Falkonert (c) 2011

    Qu?
    Hardware o informacin como: 1. Contrabando (Sw. pirata) 2. Instrumento (Keylogger) 3. Evidencia (Inf. Del Computador de Ral Reyes)

    10 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    Introduccin a la Computacin Forense

    4/8/2011

    Quin?
    El Investigador Forense en Informtica Formacin Ideal:
    Mtodos Cientficos Ciencias del comportamiento Ciencias de la computacin e ingeniera Ciencias jurdicas o legales Criminalstica y ciencias forenses
    11 08/04/2011 Daniel Torres Falkonert (c) 2011

    La Evidencia Digital

    12 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    Introduccin a la Computacin Forense

    4/8/2011

    Qu es?
    Es un tipo especial de evidencia fsica Es intangible

    Cualquiera o toda informacin en formato digital que pueda establecer que un delito ha sido cometido o que pueda proveer una relacin entre un delito y su vctima o un delito y su autor Eoghan Casey
    13 08/04/2011 Daniel Torres Falkonert (c) 2011

    La Evidencia
    Permite conocer el pasado (Qu, Quin, Cmo, Dnde y por qu) Confirmar o desechar hiptesis sobre un hecho en cuestin Reconstruir total o parcialmente el escenario en el que sucedi el incidente
    14 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    Introduccin a la Computacin Forense

    4/8/2011

    Principio del Intercambio de Locard


    Fundamental en las ciencias forenses til al momento de reconstruir y relacionar a un sospechoso con un delito

    15 08/04/2011 Daniel Torres Falkonert (c) 2011

    Quin produce la evidencia?


    1. Un computador (Logs) 2. Almacenada en un computador (Un documento) 3. Hbrida (una hoja de Excel con Macros)
    16 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    Introduccin a la Computacin Forense

    4/8/2011

    Caractersticas
    Volatilidad! Escena del crimen distribuida Fcilmente Alterable Ilegible por humanos Duplicable Integridad Verificable Recuperable
    17 08/04/2011 Daniel Torres Falkonert (c) 2011

    Dnde encontrarla?
    En cualquier dispositivo que tenga memoria.
    Computadores Memorias USB Telfonos celulares PDA Cmaras digitales

    18 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    Introduccin a la Computacin Forense

    4/8/2011

    y la ley s valora ese tipo de pruebas?


    19 08/04/2011 Daniel Torres Falkonert (c) 2011

    Ley 527. ART. 10. Admisibilidad y fuerza probatoria de los mensajes de datos.
    Los mensajes de datos sern admisibles como medios de prueba y su fuerza probatoria es la otorgada en las disposiciones del captulo VIII del ttulo XIII, seccin tercera, libro segundo del Cdigo de Procedimiento Civil. En toda actuacin administrativa o judicial, no se negar eficacia, validez o fuerza obligatoria y probatoria a todo tipo de informacin en forma de un mensaje de datos, por el slo hecho que se trate de un mensaje de datos o en razn de no haber sido presentado en su forma original.
    20 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    10

    Introduccin a la Computacin Forense

    4/8/2011

    Ley 527. ART. 11. Criterio para valorar probatoriamente un mensaje de datos.
    Para la valoracin de la fuerza probatoria de los mensajes de datos a que se refiere esta ley, se tendrn en cuenta las reglas de la sana crtica y dems criterios reconocidos legalmente para la apreciacin de las pruebas. Por consiguiente habrn de tenerse en cuenta: la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad en la forma en que se haya conservado la integridad de la informacin, la forma en la que se identifique a su iniciador y cualquier otro factor pertinente.
    21 08/04/2011 Daniel Torres Falkonert (c) 2011

    La Corte Constitucional en la Sentencia No. C-662 de Junio 8 de 2000 consider:


    El proyecto de ley establece que los mensajes de datos se deben considerar como medios de prueba, equiparando

    los mensajes de datos a los otros medios de prueba originalmente escritos en papel.
    Al hacer referencia a la definicin de documentos del Cdigo de Procedimiento Civil, le otorga al mensaje de datos la calidad de prueba, permitiendo coordinar el sistema telemtico con el sistema manual o documentario, encontrndose en igualdad de condiciones en un litigio o discusin jurdica, teniendo en cuenta para su valoracin algunos criterios como: confiabilidad, integridad de la informacin e identificacin del autor.
    22 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    11

    Introduccin a la Computacin Forense

    4/8/2011

    Ley 1273 de 2009

    23 08/04/2011 Daniel Torres Falkonert (c) 2011

    De todos modos todava falta


    Pero la ley s valora la ED

    24 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    12

    Introduccin a la Computacin Forense

    4/8/2011

    Las 3 reglas de oro de la computacin Forense segn Edwin Lugo


    1. Proteja la evidencia Original 2. Proteja la evidencia Original 3. Proteja la evidencia Original

    La validez de la evidencia depende de la rigurosidad de los procedimientos utilizados


    25 08/04/2011 Daniel Torres Falkonert (c) 2011

    Una vez reconocida, la evidencia digital debe ser preservada en su estado original. Se debe tener en mente, que la ley requiere que la evidencia sea autntica y sin alteraciones E.Casey

    26 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    13

    Introduccin a la Computacin Forense

    4/8/2011

    Manejo no adecuado de la evidencia


    Vulnerable a falsas acusaciones Violaciones de la privacidad Filtrado de informacin Incidentes sin resolver Contrademandas!! Prdida de tiempo y $$$ Impunidad
    27 08/04/2011 Daniel Torres Falkonert (c) 2011

    Ejemplo
    Se encuentra una Memoria USB en un cajn de un escritorio Se Recolecta por personal del departamento de TI
    Sin Autorizacin
    No es claro si la bsqueda fue legal

    Proceso no documentado
    No es claro quien encontr el dispositivo

    No se etiquet No se inicio la cadena de custodia

    Continuar el proceso sera una mala idea


    Alto riesgo de contrademanda
    28 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    14

    Introduccin a la Computacin Forense

    4/8/2011

    En caso de duda
    Pida ayuda a algn experto, pero NO improvise con los procedimientos forenses. Si quiere me llama

    29 08/04/2011 Daniel Torres Falkonert (c) 2011

    Aclaracin
    Dependiendo de la finalidad y la importancia del caso, los procedimientos pueden flexibilizarse

    30 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    15

    Introduccin a la Computacin Forense

    4/8/2011

    Y cuando ocurra un incidente


    Qu se debe hacer?

    31 08/04/2011 Daniel Torres Falkonert (c) 2011

    Primera respuesta a incidentes


    1. Guardar la Calma 2. Recuerde las 3 reglas de oro 3. Llame a un experto

    32 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    16

    Introduccin a la Computacin Forense

    4/8/2011

    Pero antes de llamar al experto


    Tenga la siguiente informacin a la mano

    33 08/04/2011 Daniel Torres Falkonert (c) 2011

    El Incidente
    1. 2. 3. 4. Cmo fue detectado? Qu Informacin se requiere investigar? Se puede apagar el dispositivo? Se requiere recuperar el disco daado lgicamente o fsicamente? 5. Lista de palabras clave que permitan realizar bsquedas 6. En qu horario debe hacerse la investigacin?
    34 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    17

    Introduccin a la Computacin Forense

    4/8/2011

    El Equipo de Cmputo o dispositivo:


    1. Laptop, Desktop, PDA, Celular o Memoria USB? 2. Marca 3. Modelo 4. Capacidad 5. Tipo de conector disco duro

    35 08/04/2011 Daniel Torres Falkonert (c) 2011

    Sistema Operativo
    1. 2. 3. 4. 5. 6. Nombre y Versin Sistema de Archivos Utilizado Tiene Archivos Cifrados? Cuntos Usuarios tienen acceso a el? Tiene Arreglo de Discos (RAID)? Tiene Antivirus, Firewall, Anti-spyware, etc?

    36 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    18

    Introduccin a la Computacin Forense

    4/8/2011

    Y si lo considera necesario

    http://www.delitosinformaticos.gov.co

    37 08/04/2011 Daniel Torres Falkonert (c) 2011

    Cmo se hace?
    El proceso forense en informtica

    38 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    19

    Introduccin a la Computacin Forense

    4/8/2011

    Qu se debe tener en cuenta?

    39 08/04/2011 Daniel Torres Falkonert (c) 2011

    Procedimientos estndar de Operacin


    Serie de pasos que deben ser seguidos cada vez que se requiera recolectar y/o examinar un computador o componente de este Aseguran que la evidencia fue recolectada, preservada y analizada de una manera consistente y minuciosa Afrontar crisis en todos los niveles. Proteger la continuidad del negocio
    40 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    20

    Introduccin a la Computacin Forense

    4/8/2011

    Principios del manejo de la evidencia


    Principio 1: Ninguna medida tomada por la polica o sus agentes deber alterar datos almacenados en un computador o cualquier otro medio que pueda ser eventualmente confiado ante una corte. Principio 2: Bajo circunstancias excepcionales, en donde se considere necesario acceder a los datos originales en un computador, la persona encargada de realizar dicha accin, deber ser competente para hacerlo, adicionalmente debe dar evidencia de sus acciones, documentando y explicando la relevancia y las implicaciones de stas.
    41 08/04/2011 Daniel Torres Falkonert (c) 2011

    Principios del manejo de la evidencia


    Principio 3: Se deber crear y preservar un registro de secuencia de eventos u otro tipo de registro de todos los procesos aplicados a la evidencia digital. Una tercera parte independiente deber estar en condiciones de examinar esos procesos y lograr el mismo resultado. Principio 4: El oficial a cargo del caso es responsable de asegurarse que la ley y estos principios sean cumplidos. Esto con respecto a la posesin de la informacin contenida en el computador, y el acceso a la misma. Se deber satisfacer que cualquiera que acceda al computador, o cualquier uso que se haga sobre ste de un dispositivo de copiado, cumpla con estas leyes y principios.
    42 08/04/2011 Daniel Torres Falkonert (c) 2011

    Daniel Torres Falkonert (c) 2011

    21

    Introduccin a la Computacin Forense

    4/8/2011

    Preguntas

    08/04/2011 Daniel Torres Falkonert (c) 2011

    43

    Daniel Torres Falkonert (c) 2011

    22

    You might also like